特許第6032449号(P6032449)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 野々市 恭徳

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 野々市 恭徳の特許一覧

<>
  • 特許6032449-サイバー攻撃メール対応訓練システム 図000002
  • 特許6032449-サイバー攻撃メール対応訓練システム 図000003
  • 特許6032449-サイバー攻撃メール対応訓練システム 図000004
  • 特許6032449-サイバー攻撃メール対応訓練システム 図000005
  • 特許6032449-サイバー攻撃メール対応訓練システム 図000006
  • 特許6032449-サイバー攻撃メール対応訓練システム 図000007
  • 特許6032449-サイバー攻撃メール対応訓練システム 図000008
  • 特許6032449-サイバー攻撃メール対応訓練システム 図000009
  • 特許6032449-サイバー攻撃メール対応訓練システム 図000010
  • 特許6032449-サイバー攻撃メール対応訓練システム 図000011
  • 特許6032449-サイバー攻撃メール対応訓練システム 図000012
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】6032449
(24)【登録日】2016年11月4日
(45)【発行日】2016年11月30日
(54)【発明の名称】サイバー攻撃メール対応訓練システム
(51)【国際特許分類】
   G06F 13/00 20060101AFI20161121BHJP
【FI】
   G06F13/00 610S
   G06F13/00 625
【請求項の数】11
【全頁数】22
(21)【出願番号】特願2015-225155(P2015-225155)
(22)【出願日】2015年11月17日
【審査請求日】2016年7月19日
【早期審査対象出願】
(73)【特許権者】
【識別番号】714004631
【氏名又は名称】野々市 恭徳
(74)【代理人】
【識別番号】100137338
【弁理士】
【氏名又は名称】辻田 朋子
(72)【発明者】
【氏名】野々市 恭徳
【審査官】 寺谷 大亮
(56)【参考文献】
【文献】 特開2013−149063(JP,A)
【文献】 山口 健太郎, 小宮山 功一朗, 内田 勝也,ユーザへの予防接種というアプローチによる標的攻撃対策,コンピュータセキュリティシンポジウム2008 論文集 [第一分冊] Computer Security Symposium 2008 (CSS2008),日本,社団法人情報処理学会,2008年10月 8日,第2008巻, 第8号,p.385-390
【文献】 木村 壮太,メール攻撃危険予知訓練システムの開発,情報処理学会 研究報告 コンピュータセキュリティ(CSEC) 2013-CSEC-063 [online],日本,情報処理学会,2013年12月 2日,p.1-6
【文献】 勝村 幸博,クローズアップ Close Up,日経コンピュータ,日本,日経BP社,2013年12月12日,第849号,p.68-73
(58)【調査した分野】(Int.Cl.,DB名)
G06F 13/00
G06F 21/00
H04L 12/58
(57)【特許請求の範囲】
【請求項1】
サイバー攻撃メール対応訓練サーバ装置を備え、訓練対象者へと訓練用ファイルを添付した訓練用メールを送信し、前記訓練対象者による前記訓練用ファイルの開封状況の記録を行うサイバー攻撃メール対応訓練システムであって、
前記訓練対象者の情報を記憶する訓練対象者情報記憶部と、
前記訓練用メールを受信した前記訓練対象者によって前記訓練用ファイルが開封された場合に発生するDNSリクエストの履歴情報を記憶するDNS応答履歴情報記憶部と、
前記訓練対象者による前記訓練用ファイルの開封状況を記憶する訓練結果情報記憶部と、
前記サイバー攻撃メール対応訓練サーバ装置を権威DNSサーバとする訓練用ドメイン名を含む訓練用ファイルを生成する、訓練用ファイル生成手段と、
前記訓練用ファイルが添付された、サイバー攻撃メールを模した訓練用メールを前記訓練対象者へと送信する訓練用メール送信手段と、
前記DNSリクエストを受信した場合に、前記履歴情報を前記DNS応答履歴情報記憶部へと記録するDNS応答手段と、
前記履歴情報の解析を行い、前記履歴情報と前記訓練対象者情報記憶部の記憶する情報に基づいて、前記訓練用ファイルを開封した前記訓練対象者を特定し、前記訓練用ファイルの開封状況を前記訓練結果情報記憶部へと記録するDNS応答履歴解析手段と、を有することを特徴とする、サイバー攻撃メール対応訓練システム。
【請求項2】
前記訓練結果情報記憶部の記憶する前記開封状況の集計を行い、訓練結果として集計して出力する訓練結果情報出力手段を有することを特徴とする、請求項1に記載のサイバー攻撃メール対応訓練システム。
【請求項3】
前記訓練用ファイルが、前記訓練対象者によって開封された場合に実行され、前記訓練用ドメイン名を用いた前記DNSリクエストを行う、実行形式ファイルであることを特徴とする、請求項1又は請求項2に記載のサイバー攻撃メール対応訓練システム。
【請求項4】
前記訓練用ファイルが、前記訓練対象者によって開封された場合に所定のプログラムで開かれ、前記所定のプログラムによる前記訓練用ドメイン名を用いた前記DNSリクエストを促す、データファイルであることを特徴とする、請求項1又は請求項2に記載のサイバー攻撃メール対応訓練システム。
【請求項5】
前記DNS応答手段が、前記DNSリクエストに含まれる前記訓練用ドメイン名に対応した回答IPアドレスを含むDNS回答を生成し、
前記訓練用ファイルが、前記DNS回答を受信し、前記回答IPアドレスに応じた処理を行うことを特徴とする、請求項1から請求項4の何れかに記載のサイバー攻撃メール対応訓練システム。
【請求項6】
前記訓練用ファイルが、前記DNSリクエストの送信元の端末装置の端末情報を示す文字列を前記訓練用ドメイン名に付加して前記DNSリクエストを行い、
前記DNS応答履歴解析手段が、前記端末情報に基づいて、前記訓練用ファイルの開封状況の判定を行うことを特徴とする、請求項1から請求項5の何れかに記載のサイバー攻撃メール対応訓練システム。
【請求項7】
前記訓練用ファイルが、前記端末情報を示す文字列を複数の文字列に分割し、前記複数の文字列のそれぞれを前記訓練用ドメイン名に付加して、複数のDNSリクエストを行い、
前記DNS応答履歴解析手段が、前記複数のDNSリクエストの前記履歴情報によって前記訓練用ファイルの開封状況の判定を行うことを特徴とする、請求項6に記載のサイバー攻撃メール対応訓練システム。
【請求項8】
前記履歴情報が、前記DNSリクエストの送信元IPアドレスを含み、
前記DNS応答履歴解析手段が、前記送信元IPアドレスに基づいて、前記訓練用ファイルの開封状況の判定を行うことを特徴とする、請求項1から請求項7の何れかに記載のサイバー攻撃メール対応訓練システム。
【請求項9】
前記訓練用ファイルが前記訓練対象者へと選択を求める複数の選択肢を有し、前記訓練対象者による前記選択肢の選択内容に応じた情報を前記訓練用ドメイン名に付加し、前記DNSリクエストを行うことを特徴とする、請求項1から請求項8の何れかに記載のサイバー攻撃メール対応訓練システム。
【請求項10】
訓練対象者へと訓練用ファイルを添付した訓練用メールを送信し、前記訓練対象者による前記訓練用ファイルの開封状況の記録を行うサイバー攻撃メール対応訓練プログラムであって、
コンピュータ装置を、
前記訓練対象者の情報を記憶する訓練対象者情報記憶部と、
前記訓練用メールを受信した前記訓練対象者によって前記訓練用ファイルが開封された場合に発生するDNSリクエストの履歴情報を記憶するDNS応答履歴情報記憶部と、
前記訓練対象者による前記訓練用ファイルの開封状況を記憶する訓練結果情報記憶部と、
訓練用ドメイン名を含む訓練用ファイルを生成する、訓練用ファイル生成手段と、
前記訓練用ファイルが添付された、サイバー攻撃メールを模した訓練用メールを前記訓練対象者へと送信する訓練用メール送信手段と、
前記DNSリクエストを受信した場合に、前記履歴情報を前記DNS応答履歴情報記憶部へと記録するDNS応答手段と、
前記履歴情報の解析を行い、前記履歴情報と前記訓練対象者情報記憶部の記憶する情報に基づいて、前記訓練用ファイルを開封した前記訓練対象者を特定し、前記訓練用ファイルの開封状況を前記訓練結果情報記憶部へと記録するDNS応答履歴解析手段と、として動作させることを特徴とする、サイバー攻撃メール対応訓練プログラム。
【請求項11】
訓練対象者情報記憶部と、DNS応答履歴情報記憶部と、訓練結果情報記憶部と、訓練用ファイル生成手段と、訓練用メール送信手段と、DNS応答手段と、DNS応答履歴解析手段と、を備えるサイバー攻撃メール対応訓練システムの動作方法であって、
前記訓練用ファイル生成手段が、訓練用ドメイン名を含む訓練用ファイルを生成するステップと、
前記訓練用メール送信手段が、前記訓練用ファイルが添付された、サイバー攻撃メールを模した訓練用メールを訓練対象者へと送信するステップと、
前記DNS応答手段が、前記訓練用メールを受信した前記訓練対象者によって前記訓練用ファイルが開封された場合に発生するDNSリクエストを受信し、履歴情報を前記DNS応答履歴情報記憶部へと記録するステップと、
前記DNS応答履歴解析手段が、前記履歴情報と前記訓練対象者情報記憶部の記憶する情報とに基づいて、前記訓練用ファイルを開封した前記訓練対象者を特定し、前記訓練結果情報記憶部へと記録するステップと、を備えることを特徴とする、サイバー攻撃メール対応訓練システムの動作方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サイバー攻撃メールへの対応の訓練を行う、サイバー攻撃メール対応訓練システムに関する。
【背景技術】
【0002】
近年、サイバー攻撃の一種として、企業などの組織に狙いを定めた、標的型攻撃とよばれる手法が用いられている。中でも、マルウェアなどを添付した電子メールを送信し、受信者が添付ファイルを開くことによって攻撃が開始される、といった、いわゆる標的型攻撃メールが用いられる事例は多く、顧客情報の漏えいのような、重大な被害も発生している。
【0003】
攻撃に用いられる手口も巧妙化しており、組織の内部の人間や、取引先のような関連組織の人間を装った件名や内容、拡張子を偽装した添付ファイルなどが用いられることも多い。そのため、電子メールの受信者が、それが標的型攻撃メールであるかどうかを見極めることが困難になってきている。
【0004】
また、同様に電子メールを用いたサイバー攻撃の手法として、不特定多数を対象として、マルウェアの添付や不正なハイパーリンクを含むようなメールを送信する、フィッシングメールなども挙げられる。このように、電子メールを用いた種々のサイバー攻撃が行われている。
【0005】
このような状況に対し、サイバー攻撃メールへの対応の訓練を実施する組織も増えてきている。訓練方法としては、図11に示すように、マルウェアなどを模した訓練用ファイルを添付し、サイバー攻撃メールを模した訓練用メールを作成し(ステップS61)、それを訓練対象者である組織の構成員などに送信し(ステップS62)、訓練対象者による訓練用ファイルの開封を検知して(ステップS63)、訓練用ファイル添付ファイルを開封してしまった訓練対象者に対して、教育を行う(ステップS64)、といった方法などが用いられている。
【0006】
特許文献1には、このようなサイバー攻撃メール、より具体的には、標的型攻撃メールへの対応の訓練を実施するためのシステムとして、開いた際に各ユーザに対応した特定のURL(Uniform Resource Locater)に基づいたHTTP(Hyper Text Transfer Protocol)リクエストを発生させるファイルを訓練用のダミーメールに添付し、HTTPリクエストの発生状況によって、各ユーザの添付ファイルの開封状況を集計することができる、標的型メール攻撃シミュレーションシステムが記載されている。これはすなわち、図11を参照して説明したような訓練の実施において、ステップS63における訓練用ファイルの開封状況の確認に、HTTPリクエストの履歴情報を利用するものである。
【0007】
また、同様に訓練用の添付ファイルの開封状況を把握するための方法として、訓練用の電子メールに、開封(実行)時にSMTP(Simple Mail Transfer Protocol)サーバへの通信を行い、開封を行ったユーザを特定可能な情報を含む電子メールを送信するような実行ファイルなどを添付し、送信された電子メールに基づいて開封状況を集計する、といった手法も用いられる。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2013−149063号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
特許文献1に記載の発明によれば、上述したように、HTTPリクエストの発生状況によって、訓練対象者による添付ファイルの開封状況を把握することができる。しかし、企業などの組織の多くは、組織内のネットワークと外部のネットワークとの間にファイアウォールやプロキシサーバなどを設置している。そして、特定の宛先以外への通信を遮断するような設定がなされていることも多い。このような場合には、訓練用のファイルから発生したHTTPリクエストが宛先のWebサーバへと到達することができないため、ファイルの開封状況を把握することができなくなってしまう。
【0010】
このように、組織内ネットワーク内の端末装置からの自由な通信が行えない場合には、組織内のネットワーク環境に、添付ファイルから発生するHTTPリクエストを受信するWebサーバを設置するなどの準備を行う必要が生じてしまう。また、複数の拠点を有するような大規模な組織において訓練を実施する場合などにおいて、各拠点から共通してアクセス可能なWebサーバを設置するというのは、非常に困難である場合も多い。
【0011】
また、訓練実施時に、ファイアウォールやプロキシサーバなどのセキュリティ設定のレベルを下げ、一時的に訓練用のWebサーバへと通信を可能とするような方法も考えられる。しかし、一時的とはいえ、組織内のネットワークのセキュリティレベルを下げることになるため、セキュリティ対策の訓練の実施のために、危険にさらされてしまう、といった本末転倒な状況にもなりかねない。
【0012】
添付ファイルの実行時にSMTPサーバへの通信を行い、電子メールの送信を行うような方法についても、同様に組織内ネットワーク内の端末装置から外部ネットワークへの自由な通信が行えない状況においては、訓練用メールの添付ファイルの開封状況の把握が困難になってしまう。
【0013】
そこで、本発明では、通信環境に制限のある場合においても、訓練対象者による添付ファイルの開封状況を把握し、効果的な訓練を実施することができる、サイバー攻撃メール対応訓練システムを提供することを課題とする。
【課題を解決するための手段】
【0014】
上記課題を解決するために、本発明に係るサイバー攻撃メール対応訓練システムは、
サイバー攻撃メール対応訓練サーバ装置を備え、訓練対象者へと訓練用ファイルを添付した訓練用メールを送信し、前記訓練対象者による前記訓練用ファイルの開封状況の記録を行うサイバー攻撃メール対応訓練システムであって、
前記訓練対象者の情報を記憶する訓練対象者情報記憶部と、
前記訓練用メールを受信した前記訓練対象者によって前記訓練用ファイルが開封された場合に発生するDNSリクエストの履歴情報を記憶するDNS応答履歴情報記憶部と、
前記訓練対象者による前記訓練用ファイルの開封状況を記憶する訓練結果情報記憶部と、
前記サイバー攻撃メール対応訓練サーバ装置を権威DNSサーバとする訓練用ドメイン名を含む訓練用ファイルを生成する、訓練用ファイル生成手段と、
前記訓練用ファイルが添付された、サイバー攻撃メールを模した訓練用メールを前記訓練対象者へと送信する訓練用メール送信手段と、
前記DNSリクエストを受信した場合に、前記履歴情報を前記DNS応答履歴情報記憶部へと記録するDNS応答手段と、
前記履歴情報の解析を行い、前記履歴情報と前記訓練対象者情報記憶部の記憶する情報に基づいて、前記訓練用ファイルを開封した前記訓練対象者を特定し、前記訓練用ファイルの開封状況を前記訓練結果情報記憶部へと記録するDNS応答履歴解析手段と、を有することを特徴とする。
【0015】
このように、訓練用ドメイン名を含む訓練用ファイルを訓練対象者へと送信し、それが開封された場合に発生するDNSリクエストによって訓練対象者による訓練用ファイルの開封の有無を判別することで、HTTPやSMTPなどのプロトコルによる通信が制限された環境においても、DNSリクエストの送信さえ許可されていれば、サイバー攻撃メールへの対応の訓練を実施することができる。ファイアウォールやプロキシサーバなどが設置される組織内ネットワークのような環境においても、外部DNSサーバへの直接の、あるいは内部DNSサーバを経由した、DNSリクエストの送信は多くの場合に許可されているため、様々な環境において訓練を実施することができる。
【0016】
本発明の好ましい形態では、前記訓練結果情報記憶部の記憶する前記開封状況の集計を行い、訓練結果として集計して出力する訓練結果情報出力手段を有することを特徴とする。
このように、訓練用ファイルの開封を行った訓練対象者の集計結果を出力可能な構成とすることにより、訓練結果の詳細な分析や、訓練対象者に対する適切な対応をとることができる。
【0017】
本発明の好ましい形態では、前記訓練用ファイルが、前記訓練対象者によって開封された場合に実行され、前記訓練用ドメイン名を用いた前記DNSリクエストを行う、実行形式ファイルであることを特徴とする。
このように、訓練用ファイルとして実行形式ファイルを用いることで、訓練対象者の用いる端末装置へのアプリケーションプログラムのインストール状況などに関わらず、訓練を実施することができる。
【0018】
本発明の好ましい形態では、前記訓練用ファイルが、前記訓練対象者によって開封された場合に所定のプログラムで開かれ、前記所定のプログラムによる前記訓練用ドメイン名を用いた前記DNSリクエストを促す、データファイルであることを特徴とする。
このように、訓練用ファイルとしてデータファイルを用いることで、広く用いられる文書作成ソフトや表計算ソフトなどを用いたサイバー攻撃に対する訓練を実施することができる。
【0019】
本発明の好ましい形態では、前記DNS応答手段が、前記DNSリクエストに含まれる前記訓練用ドメイン名に対応した回答IPアドレスを含むDNS回答を生成し、
前記訓練用ファイルが、前記DNS回答を受信し、前記回答IPアドレスに応じた処理を行うことを特徴とする。
このように、訓練用ファイルによってDNS回答に応じた処理を行うことにより、訓練対象者の行動を判別し、それに適した注意喚起などを行うことができる。
【0020】
本発明の好ましい形態では、前記訓練用ファイルが、前記DNSリクエストの送信元の端末装置の端末情報を前記訓練用ドメイン名に付加して前記DNSリクエストを行い、
前記DNS応答履歴解析手段が、前記端末情報に基づいて、前記訓練用ファイルの開封状況の判定を行うことを特徴とする。
このように、DNSリクエストの送信元である端末装置の情報を開封状況の判定に用いることで、訓練対象者による訓練用ファイルの開封状況をより正確に把握することができる。
【0021】
本発明の好ましい形態では、前記訓練用ファイルが、前記端末情報を示す文字列を複数の文字列に分割し、前記複数の文字列のそれぞれを前記訓練用ドメイン名に付加して、複数のDNSリクエストを行い、
前記DNS応答履歴解析手段が、前記複数のDNSリクエストの前記履歴情報によって前記訓練用ファイルの開封状況の判定を行うことを特徴とする。
このように、端末情報を複数の文字列に分割し、それらの情報をそれぞれ含む複数のDNSリクエストによって訓練用ファイルの開封判定を行う構成とすることにより、ドメイン名の長さによる制約を受けることなく、多くの端末情報を開封状況の判定に用いることができる。
【0022】
本発明の好ましい形態では、前記履歴情報が、前記DNSリクエストの送信元IPアドレスを含み、
前記DNS応答履歴解析手段が、前記送信元IPアドレスに基づいて、前記訓練用ファイルの開封状況の判定を行うことを特徴とする。
このように、DNSリクエストの送信元IPアドレスを開封状況の判定に用いることで、訓練対象者による訓練用ファイルの開封状況をより正確に把握することができる。
【0023】
本発明の好ましい形態では、前記訓練用ファイルが前記訓練対象者へと選択を求める複数の選択肢を有し、前記訓練対象者による前記選択肢の選択内容に応じた情報を前記訓練用ドメイン名に付加し、前記DNSリクエストを行うことを特徴とする。
このように、訓練対象者への選択肢の提示と、訓練対象者による選択に応じた情報を含むDNSリクエストが可能な構成とすることにより、訓練対象者へのアンケートなどを実施することができる
【0024】
本発明に係るサイバー攻撃メール対応訓練プログラムは、
訓練対象者へと訓練用ファイルを添付した訓練用メールを送信し、前記訓練対象者による前記訓練用ファイルの開封状況の記録を行うサイバー攻撃メール対応訓練プログラムであって、
コンピュータ装置を、
前記訓練対象者の情報を記憶する訓練対象者情報記憶部と、
前記訓練用メールを受信した前記訓練対象者によって前記訓練用ファイルが開封された場合に発生するDNSリクエストの履歴情報を記憶するDNS応答履歴情報記憶部と、
前記訓練対象者による前記訓練用ファイルの開封状況を記憶する訓練結果情報記憶部と、
訓練用ドメイン名を含む訓練用ファイルを生成する、訓練用ファイル生成手段と、
前記訓練用ファイルが添付された、サイバー攻撃メールを模した訓練用メールを前記訓練対象者へと送信する訓練用メール送信手段と、
前記DNSリクエストを受信した場合に、前記履歴情報を前記DNS応答履歴情報記憶部へと記録するDNS応答手段と、
前記履歴情報の解析を行い、前記履歴情報と前記訓練対象者情報記憶部の記憶する情報に基づいて、前記訓練用ファイルを開封した前記訓練対象者を特定し、前記訓練用ファイルの開封状況を前記訓練結果情報記憶部へと記録するDNS応答履歴解析手段と、として動作させることを特徴とする。
【0025】
本発明に係るサイバー攻撃メール対応訓練システムの動作方法は、
訓練対象者情報記憶部と、DNS応答履歴情報記憶部と、訓練結果情報記憶部と、訓練用ファイル生成手段と、訓練用メール送信手段と、DNS応答手段と、DNS応答履歴解析手段と、を備えるサイバー攻撃メール対応訓練システムの動作方法であって、
前記訓練用ファイル生成手段が、訓練用ドメイン名を含む訓練用ファイルを生成するステップと、
前記訓練用メール送信手段が、前記訓練用ファイルが添付された、サイバー攻撃メールを模した訓練用メールを訓練対象者へと送信するステップと、
前記DNS応答手段が、前記訓練用メールを受信した前記訓練対象者によって前記訓練用ファイルが開封された場合に発生するDNSリクエストを受信し、履歴情報を前記DNS応答履歴情報記憶部へと記録するステップと、
前記DNS応答履歴解析手段が、前記履歴情報と前記訓練対象者情報記憶部の記憶する情報とに基づいて、前記訓練用ファイルを開封した前記訓練対象者を特定し、前記訓練結果情報記憶部へと記録するステップと、を備えることを特徴とする。
【発明の効果】
【0026】
外部ネットワークとの通信が制限されるような組織内ネットワークなどにおいても、訓練対象者による添付ファイルの開封状況を把握し、効果的な訓練を実施することができるサイバー攻撃メール対応訓練システムを提供することができる。
【図面の簡単な説明】
【0027】
図1】本発明の一実施形態に係るサイバー攻撃メール対応訓練システムの構成図である。
図2】本発明の一実施形態に係るサイバー攻撃メール対応訓練サーバ装置の機能ブロック図である。
図3】本発明の一実施形態に係る訓練管理者端末装置の機能ブロック図である。
図4】本発明の一実施形態に係る訓練対象者端末装置の機能ブロック図である。
図5】本発明の一実施形態における各記憶部のデータ構造の一例を示す図である。
図6】本発明の一実施形態における訓練用メールの送信時の処理を示すフローチャートである。
図7】本発明の一実施形態における訓練用メールの受信時の処理を示すフローチャートである。
図8】本発明の一実施形態における訓練用ファイルの開封時の処理を示すフローチャートである。
図9】本発明の一実施形態における訓練用ファイルの開封時の処理を示すフローチャートである。
図10】本発明の一実施形態におけるDNSリクエストの受信時の処理を示すフローチャートである。
図11】サイバー攻撃メール対応訓練の実施の流れを示すフローチャートである。
【発明を実施するための形態】
【0028】
以下、図面を参照して本発明の一実施形態について、詳細に説明する。なお、本実施形態に係るサイバー攻撃メール対応訓練システムは、任意の組織を訓練対象組織Aとして、標的型攻撃メールへの対応訓練の手段を提供するものである。より具体的には、訓練対象組織Aに所属する訓練管理者が訓練の準備を行い、訓練対象組織Aに所属する訓練対象者を対象として、標的型攻撃メールへの対応訓練を行うものである。あるいは、訓練対象組織Aの外部の訓練管理者が、訓練対象組織Aに加えて他の訓練対象組織における標的型攻撃メールへの対応訓練を管理するような構成としてもよい。
【0029】
本実施形態に係るサイバー攻撃メール対応訓練システムを用いた訓練のおおまかな流れは、図11に示すようなものである。そして、ステップS63における訓練用ファイルの開封状況の確認に、DNS(Domain Name System)プロトコルによる通信を利用する点に、特徴を有する。
【0030】
<システム構成>
図1は、本実施形態に係るサイバー攻撃メール対応訓練システムの構成図である。ここに示すように、サイバー攻撃メール対応訓練システムは、サイバー攻撃メール対応訓練サーバ装置1と、メール送信サーバ装置2と、メール受信サーバ装置3と、訓練管理者が利用する訓練管理者端末装置4と、訓練対象者が利用する訓練対象者端末装置5と、を備える。
【0031】
そして、訓練管理者端末装置4と、訓練対象者端末装置5は、訓練対象組織A内に整備されたLAN(Local Area Network)7を介して、互いに通信可能に構成される。そして、LAN7に属する各端末装置は、訓練対象組織A外のWAN(Wide Area Network)6に接続された他の装置との通信を行う際には、LAN7に接続されたファイアウォール8を経由することになる。
【0032】
ファイアウォール8は省略してもよいが、企業などの多くの組織における組織内LANでは、セキュリティ対策のために、組織内外の通信はファイアウォールを経由するよう構成される。また、更に、図示しないプロキシサーバや、組織内DNSサーバが、LAN7に接続されるような構成としてもよい。
【0033】
WAN6には、先に述べたようにファイアウォール8を介してLAN7に接続される各端末が接続されるほか、サイバー攻撃メール対応訓練サーバ装置1と、メール送信サーバ装置2と、メール受信サーバ装置3と、が通信可能に接続される。
【0034】
なお、メール送信サーバ装置2と、メール受信サーバ装置3とは、単一のメール送受信サーバとして構成されてもよい。また、メール送信サーバ装置2、メール受信サーバ装置3は共に、訓練用に専用のサーバ装置を用意せずに、訓練対象組織Aにおいて平常時に利用しているサーバ装置を用いてもよい。
【0035】
図2は、サイバー攻撃メール対応訓練サーバ装置1の機能ブロック図である。ここに示すように、サイバー攻撃メール対応訓練サーバ装置1は、訓練対象者端末装置5から送信されるDNSリクエストREQを受信し、回答を行うDNS応答手段11と、DNS応答手段11によって参照される、訓練用ドメイン情報とIPアドレスとの対応を記憶するゾーン情報記憶部14と、DNS応答手段11の行ったDNS応答の履歴情報を記憶するDNS応答履歴情報記憶部15と、訓練対象者の氏名や所属などの情報を記憶する訓練対象者情報記憶部16と、DNS応答履歴情報記憶部15の記憶する履歴情報と訓練対象者情報記憶部16の記憶する訓練対象者情報とから、訓練対象者による訓練用ファイルの開封状況を確認するDNS応答履歴解析手段12と、DNS応答履歴解析手段12による解析結果を記憶する訓練結果情報記憶部17と、訓練結果情報記憶部17の記憶する情報から、訓練の結果の集計などを行い、訓練管理者が閲覧するための訓練結果の出力を行う、訓練結果情報出力手段13と、を備える。
【0036】
なお、DNS応答手段11には、汎用的なDNSサーバプログラムを用いることができる。そのような構成とする場合には、ゾーン情報記憶部14は当該DNSサーバプログラムの設定ファイル、DNS応答履歴情報記憶部15は当該DNSサーバプログラムのログファイルに該当する。
【0037】
図3は、訓練管理者端末装置4の機能ブロック図である。ここに示すように、訓練管理者端末装置4は、訓練に用いる、マルウェアなどを模した訓練用ファイルを生成する、訓練用ファイル生成手段41と、訓練用ファイルを添付する、標的型攻撃メールを模した訓練用メールTMを作成する訓練用メール作成手段42と、メール送信サーバ装置2を利用して訓練用メールTMを訓練対象者へと送信する、訓練用メール送信手段43と、を備える。
【0038】
なお、訓練用メール作成手段42、訓練用メール送信手段43は、一般的なメール送受信プログラムなどを用いるような構成としてもよい。
【0039】
図4は、訓練対象者端末装置5の機能ブロック図である。ここに示すように、訓練対象者端末装置5は、訓練用メールTMをメール受信サーバ装置より受信し、閲覧する電子メール閲覧手段51と、訓練対象者の操作によって、訓練用メールTMに添付された訓練用ファイルの開封を行う添付ファイル開封手段52と、を備える。
【0040】
なお、電子メール閲覧手段51には、訓練対象者が利用する一般的なメール送受信プログラムを用い、より実際に近い環境での訓練を実施可能な構成とすることが好ましい。
【0041】
サイバー攻撃メール対応訓練サーバ装置1には、演算装置、主記憶装置、補助記憶装置、各種の入出力装置などを備え、WAN6へと直接的に、あるいは他のネットワーク機器などを介して接続可能な、汎用的なサーバ装置を用いることができる。より詳細には、サーバ装置の補助記憶装置上に、サーバ装置を上記各手段として動作させるためのプログラムと上記各記憶部として使用する領域を配し、プログラムを動作させることにより、サーバ装置をサイバー攻撃メール対応訓練サーバ装置1として動作させることができる。
【0042】
また、DNS応答手段11と、ゾーン情報記憶部14、及びDNS応答履歴情報記憶部15を有するDNSサーバ装置を利用し、DNS応答履歴解析手段12と、訓練対象者情報記憶部16、訓練結果情報記憶部17、及び訓練結果情報出力手段13を備えるようなサーバ装置を追加で用意する、といったように、複数のサーバ装置によってサイバー攻撃メール対応訓練サーバ装置を実現するような構成としてもよい。
【0043】
特に、DNSサーバ装置は、負荷分散や冗長性の確保のために複数台用意され、それらを協調動作させることが多い。本実施形態においても、DNS応答手段11、ゾーン情報記憶部14、DNS応答履歴情報記憶部15をそれぞれ備える複数台のサーバ装置を用い、それらを協調して動作させるような構成としてもよい。その場合においても、それらの内の何れかのサーバ装置に、あるいは異なるサーバ装置により、DNS応答履歴解析手段12や訓練対象者情報記憶部16、訓練結果情報記憶部17、訓練結果情報出力手段13を構成し、複数のDNS応答履歴情報記憶部15に記録されるDNS応答履歴情報から、訓練の結果を集計可能に構成されることが好ましい。
【0044】
メール送信サーバ装置2、メール受信サーバ装置3についても同様に、汎用的なサーバ装置を用いることができる。
【0045】
訓練管理者端末装置4及び訓練対象者端末装置5には、演算装置、主記憶装置、補助記憶装置、各種の入出力装置などを備え、LAN7へと接続可能な、汎用的なコンピュータ装置を用いることができる。例えば、パーソナルコンピュータや、タブレット型端末装置、スマートフォン端末装置、携帯電話などである。
【0046】
また、図1に示したように、訓練管理者端末装置4及び訓練対象者端末装置5の全てがLAN7を介してWAN6へと接続される構成のみでなく、図示しない他のLANを経由して、あるいは直接的に、WAN6への接続が可能な端末装置を含むような構成としてもよい。このような構成とすることにより、訓練対象組織Aの他の拠点から通信を行う訓練対象者や、ノートパソコンやタブレット型端末装置、スマートフォン端末装置、携帯電話といったモバイル端末を用いて通信を行う訓練対象者についても、LAN7を介して通信を行う訓練対象者と同様に訓練を実施することができる。
【0047】
また、訓練対象組織Aと同様に、図示しない他の訓練対象組織についても、同様に各組織内のLAN環境から、WAN6に接続するような構成とし、複数の組織を対象とした訓練を実施可能な構成とすることが好ましい。
【0048】
<各記憶部のデータ構造>
図5に、サイバー攻撃メール対応訓練サーバ装置1の有する各記憶部のデータ構造の一例を示す。図5(a)は、ゾーン情報記憶部14の記憶する訓練用ドメインの情報を示す図である。
【0049】
ここで、一般的なドメイン名の取り扱いとして、ドメイン名が「*.org−a.example.com」であれば、「com」ドメインの配下に「example」ドメインが、そして更にその配下に、「org−a」ドメインが存在する、といった形態となる。
【0050】
そして、「*」はワイルドカードを示す。すなわち、「*」の部分にどのようなドメイン名が設定されていた場合においても、その後ろに「.org−a.example.com」の文字列が続くドメイン名であれば、「xxx.xxx.xxx.1」が対応するIPアドレスである、という形態で、ドメイン名とIPアドレスとを対応付けて記憶している。
【0051】
なお、ここでは、「example.com」ドメインが、サイバー攻撃メール対応訓練サーバ装置1を管理する組織の管理するドメインであり、それを管理するDNSサーバ(「example.com」ドメインの権威DNSサーバ)が、サイバー攻撃メール対応訓練サーバ装置1に設定されている状況を想定している。そして、「org−a」、「org−b」、「org−c」ドメインは、先に述べたように、複数の訓練対象組織を対象とした訓練を実施する場合に各訓練対象組織を識別するための、それぞれの組織に対応するサブドメインである。
【0052】
図5(b)は、訓練対象者情報記憶部16の記憶する、訓練対象者情報の一例を示す図である。ここでは、訓練対象者を一意に識別可能な任意のID文字列と、訓練対象者の氏名、その所属組織、利用しているメールアドレスなど、訓練対象者についての情報を記憶する。
【0053】
そして更に、各訓練対象者の利用する訓練対象者端末装置5の情報として、そのホスト名、訓練対象組織内のLAN環境で利用しているローカルIPアドレス、そして訓練対象者端末装置5の備えるネットワークカードのMAC(Media Access Control)アドレスなどの情報も、各訓練対象者と紐付けて記憶する。
【0054】
図5(c)は、DNS応答履歴情報記憶部15の記憶する、訓練対象者端末装置5からのDNSリクエストREQをDNS応答手段11が受信し、DNS回答ANSを送信した履歴情報の一例である。
【0055】
DNS応答履歴情報としては、ここに示すように、DNSリクエストREQの受信時刻、DNSリクエストREQに含まれていた、問い合わせ対象のFQDN(Fully Qualified Domain Name,完全修飾ドメイン名)、当該問い合わせに対して送信したDNS回答ANSに含まれるIPアドレス、そして、DNSリクエストREQの送信元のIPアドレス情報などの情報を記憶する。
【0056】
なお、ここで、問い合わせ対象のFQDNには、後に詳細に説明するように、訓練対象者及び/又は訓練対象者端末装置5を特定可能な文字列をサブドメインとして含むことが好ましい。DNS応答履歴解析手段12は、この情報などを利用して、訓練対象者による訓練用ファイルの開封の有無を確認し、訓練結果情報記憶部17へと記憶する。
【0057】
図5(d)は、訓練結果情報記憶部17の記憶する、訓練結果情報の一例である。ここに示すように、訓練結果情報としては、IDや氏名、所属組織といった、訓練対象者の情報や、訓練用ファイルの開封確認時刻、先に述べたような、訓練対象者及び/又は訓練対象者端末装置5を特定可能なサブドメインより判別した、訓練対象者端末装置5の情報などを記憶する。訓練管理者は、この情報を参照、集計することにより、訓練対象組織における各訓練対象者による訓練用ファイルの開封状況を把握することができる。
【0058】
<訓練の実施の流れ>
続いて、本実施形態に係るサイバー攻撃メール対応訓練システムによる訓練の実施の流れについて説明する。訓練全体の流れとしては、図11のフローチャートに示すように、まず訓練管理者による訓練用ファイル及び訓練用メールTMの作成(ステップS61)、訓練用ファイルを添付した訓練用メールTMの送信(ステップS62)を行い、そして各訓練対象者による訓練用ファイルの開封状況の確認(ステップS63)の後に、それに基づいて訓練対象者に対する教育を実施する(ステップS64)、といったものである。
【0059】
図6は、訓練管理者による訓練管理者端末装置4を用いた、訓練用メールTMの送信までの流れを示すフローチャートである。まず、ステップS11で、訓練用ファイルの作成を行う。ここで、訓練用ファイルとしては、訓練対象者端末装置5の添付ファイル開封手段52によって訓練用ファイルが開封された際に実行される実行形式のファイルや、同様に開封された際に、Microsoft(登録商標)社のOffice(登録商標)に含まれる、WordやExcel、PowerPointといった、汎用的な文書作成ソフトウェアや表計算ソフトウェアによって展開され、所定の処理の実行を促すようなデータファイルなどを用いることができる。
【0060】
訓練用ファイルには、少なくとも、訓練対象組織を識別可能なドメイン名を含めておく。本実施形態においては、「org−a」というサブドメインが訓練対象組織を表すものとしているため、「org−a.example.com」というドメイン名の情報を、訓練用ファイルに含める。
【0061】
なお、訓練用ファイルは、全訓練対象者に送信する単一のファイルとしてもよいし、IDなどの訓練対象者を特定可能な情報を含めた、訓練対象者毎に別個のファイルとしてもよい。また、訓練対象者ごとに別個のファイルとする場合には、訓練対象者情報記憶部16に記憶される各訓練対象者の情報、あるいは同様の内容を持つ表形式ファイルなどを利用して、一括で作成できるような構成とすることが好ましい。
【0062】
また、訓練用ファイルには、訓練対象者が開封した際に標的型攻撃メールへの対応の訓練であることや、メールの添付ファイルの開封に関する注意喚起などを含むメッセージを設定可能とすることが好ましい。
【0063】
更に、訓練用ファイルに、訓練対象者が開封した際に表示する質問事項と、その回答として選択を求める選択肢や、文字列の入力を求める入力項目などを設定可能な構成としてもよい。このような構成とすれば、訓練対象者が訓練用ファイルを開封した際に、どのような理由で開封してしまったか、といったアンケートを行うことができる。そして、後に説明するように、訓練対象者による回答内容に応じて異なるIPアドレスを含むDNS回答ANSがDNS応答手段11より送信される構成とし、それらのIPアドレスに応じた処理を予め訓練用ファイル内に定義しておけば、訓練対象者による回答内容に応じて異なるメッセージの表示などの処理を行う、といった構成にすることもできる。
【0064】
続くステップS12では、訓練用メールTMの作成を行う。ここでも、ステップS11で説明した訓練用ファイルの作成と同様、全訓練対象者で共通の訓練用メールTMを作成するような構成としてもよいし、例えば各訓練対象者の氏名を含めるような、訓練対象者毎に別個の内容とするような構成としてもよい。
【0065】
ここで、訓練用メールTMに、送信元アドレスの偽装などのような、実際の標的型攻撃メールに見られるような特徴を含めることによって、より有効な訓練を実施することが可能となる。
【0066】
以上のようにして訓練用ファイルと訓練用メールTMとを作成した後、ステップS13で、訓練用ファイルを訓練用メールTMに添付して、各訓練対象者へと送信する。ここでも、訓練対象者情報記憶部16に記憶される各訓練対象者の情報、あるいは同様の内容を持つ表形式ファイルなどを利用して、一括で送信可能な構成とすることが好ましい。
【0067】
また、ステップS13における訓練用メールTMの送信は、より詳細には、訓練管理者端末装置4から、メール送信サーバ装置2へと、SMTP(Simple Mail Transfer Protocol)などのプロトコルによって訓練用メールTMが送信され、メール送信サーバ装置2より、メール受信サーバ装置3へと訓練用メールTMが送信される。ここで、メール送信サーバ装置2が、訓練対象組織が利用するドメイン外のサーバ装置であること、すなわち、訓練用メールTMが、訓練対象組織外のドメインから送信されるような形態とすることにより、訓練用メールTMをより実際の標的型攻撃メールに近い形態で送信することができる。
【0068】
図7は、訓練対象者端末装置5による、訓練用メールTMの受信時の処理の流れを示すフローチャートである。まず、ステップS21で、訓練用メールTMを受信し、訓練対象者はその内容を閲覧する。より詳細には、訓練対象者端末装置5の備える汎用的なメールクライアントソフトウェアによって、メール受信サーバ装置3へとPOP(Post Office Protocol)や、IMAP(Internet Message Access Protocol)などのプロトコルを用いて接続し、訓練用メールTMをメール受信サーバ装置3から訓練対象者端末装置5上へとダウンロードし閲覧する、あるいはメール受信サーバ装置3上の電子メールを直接閲覧する。
【0069】
そして、ステップS22で、訓練対象者の操作によって、訓練用メールTMに添付された訓練用ファイルが開封されなかった場合には、処理は終了する。
【0070】
ステップS22で訓練用ファイルが開封された場合には、ステップS23へと進み、訓練用ファイルの開封時の処理を実行する。
【0071】
なお、ここでの訓練用ファイルの開封判定においては、訓練対象者が明示的な操作によって訓練用ファイルを開封した場合の他にも、電子メール閲覧手段51として利用するメールクライアントソフトウェアによる、文書ファイルなどのプレビュー表示が行われた際にも、訓練用ファイルが開封された、と判定することが好ましい。このような構成とすれば、メールクライアントソフトウェアのセキュリティ設定についても確認し、訓練対象者へと注意を促すことができる。
【0072】
図8は、訓練用ファイル開封時の処理を示すフローチャートである。まず、ステップS31で、訓練用ファイルの開封が行われた訓練対象者端末装置5の端末情報の収集を行う。ここで、端末情報としては、訓練対象者端末装置5のホスト名や、LAN7内にて割り当てられているプライベートIPアドレス、ネットワークカードのMACアドレスなど、訓練対象者情報記憶部16の記憶する情報と同様の情報を収集する。
【0073】
そして、ステップS32では、訓練用ファイルを開封した訓練対象者端末装置5を特定可能な形態のFQDNの生成を行う。より詳細には、ステップS31で収集した端末情報のエンコードを行い、それをサブドメインとして、訓練用ファイルに含まれる訓練対象組織を特定可能なドメイン名に付加することによって、訓練対象者端末装置5を特定可能なFQDNとする。
【0074】
例えば、ステップS31で収集した訓練対象者端末装置5の端末情報をエンコードして、「9SADSFDFSD2L3ASDE3」というサブドメインを生成する。そして、訓練用ファイルに含まれる訓練対象組織を特定可能なドメイン名「org−a.example.com」に付加することによって、「9SADSFDFSD2L3ASDE3.org−a.example.com」というFQDNを生成する。
【0075】
このように、端末情報をFQDNに含めることにより、訓練用ファイルを開封した訓練対象者端末装置5をより正確に特定することができる。例えば、一部のセキュリティソフトなどを利用している環境においては、添付ファイルの安全性を確認するために、添付ファイルがセキュリティソフトのベンダの用意するサーバへと送信され、そこで添付ファイルの開封が行われる場合などもある。そのような場合においても、端末情報を含むFQDNを生成する構成とすれば、訓練用ファイルがメール受信サーバ装置3上で開封された場合と、訓練対象者端末装置5上で開封された場合とで異なるFQDNが生成されるため、開封がセキュリティソフトによって自動的になされたものであるか、訓練対象者が行ったものでるのかを判別することができる。
【0076】
なお、文字列のエンコードを省略し、端末情報を文字列として含めるようなより単純な構成としてもよい。その場合には、FQDN情報から端末情報を簡単に読み取ることができるため、訓練用ファイルの開封を行った訓練対象者端末装置5を容易に特定することができる。しかし、組織内のネットワーク情報などが外部に漏えいするリスクがあるため、端末情報はエンコードすることが好ましい。
【0077】
続くステップS33で、ステップS32において生成したFQDNを用いた、DNSリクエストREQを生成し、送信する。ここで、DNSリクエストREQは、訓練用ファイルを開封した訓練対象者端末装置5に予め問い合わせ先として設定されたDNSサーバへと送信される。例えば、LAN7に接続される図示しない組織内DNSサーバが設定されている場合には、その組織内DNSサーバへ、あるいはWAN6に接続される図示しない組織外DNSサーバが設定されている場合には、その組織外DNSサーバへと、DNSリクエストは送信される。しかし、訓練対象者端末装置5からの問い合わせがいずれのDNSサーバへと送信された場合においても、DNSフォワーディングの仕組みにより、最終的には「example.com」ドメインの権威DNSサーバである、サイバー攻撃メール対応訓練サーバ装置1へと、DNSリクエストREQは到達する。そして、サイバー攻撃メール対応訓練サーバ装置1は、後に説明するように、DNSリクエストREQの受信情報を、DNS応答履歴情報記憶部15へと記録する。
【0078】
なお、ドメイン名の制約として、「.」によって区切られる各ラベルの文字列長は、63文字以下であること、そして、FQDNの文字列長は、253文字以下である必要がある。ここで、ステップS32におけるFQDNの生成において、ラベルの文字列長及び/又はFQDNの文字列長が、上記の最大文字数を超過してしまう場合も考えられる。そのような場合には、端末情報等を示す文字列を複数に分割し、ステップS32で複数のFQDNを生成し、ステップS33でそれらの複数のFQDNを用いた複数のDNSリクエストREQを送信するような構成とすることが好ましい。分割した各FQDNの対応を示すような情報を分割後のFQDNに含めておくことにより、後のDNS応答履歴解析手段12による解析の際に結合することができる。
【0079】
DNSリクエストの送信後には、ステップS34へと進み、訓練用ファイルに予め設定された、標的型攻撃メールへの対応の訓練であることや、メールへの添付ファイルの開封についての注意喚起などのメッセージの表示を行い、処理を終了する。
【0080】
なお、訓練用ファイルを訓練対象者毎に異なるものとする場合には、訓練用ファイルに予めIDなどの訓練対象者を識別可能な情報を含めておき、ステップS32でその情報を含むFQDNを生成するような構成、あるいは、訓練用ファイルに予めIDなどの訓練対象者を識別可能な情報を含むFQDN情報を含めておき、ステップS32における訓練対象者端末装置5上でのFQDNの生成処理を省略するような構成とし、ステップS31における端末情報の収集を省略するような構成としてもよい。
【0081】
図9は、訓練用ファイル開封時の処理について、図8に示したものとは異なる例を示すフローチャートである。これは、先に述べたように、訓練用ファイルに質問事項と、それに対する回答として訓練対象者からの選択を受け付ける選択肢、そしてDNS回答ANSに含まれるIPアドレスに対応して表示を行う複数のメッセージが含まれる場合の処理の例を示すものである。
【0082】
まず、ステップS41では、図8におけるステップS31と同様に、訓練用ファイルの開封が行われた訓練対象者端末装置5の端末情報の収集を行う。
【0083】
そして、ステップS42で、訓練用ファイルに設定された質問事項と、回答の選択肢を表示し、ステップS43で、訓練対象者からの回答を受け付ける。
【0084】
ステップS44では、ステップS41で収集した端末情報に加え、ステップS43で受け付けた回答情報も利用して、図8におけるステップS32と同様にエンコードを行い、それをサブドメインとして訓練用ファイルに含まれる訓練対象組織を特定可能なドメイン名に付加して、FQDNの生成を行う。
【0085】
そしてステップS45において、図8におけるステップS33と同様にDNSリクエストREQの生成と送信を行う。その後、ステップS46で、DNSリクエストREQに対するDNS回答ANSが得られるまで待機する。
【0086】
ステップS46でDNS回答ANSを受信した後には、それに含まれるIPアドレスに応じてメッセージを選択し、ステップS47で表示し、処理は終了する。
【0087】
このような構成とすれば、例えば訓練用ファイルに、訓練対象者への質問事項として、「どのような理由で添付ファイルを開封しましたか?」というメッセージを、それに対する回答の選択肢として、(1)「通常業務にて利用するファイル形態と判別がつかなかったため」、(2)「メール送信者のアドレスが得意先のものであったため」という選択肢を、そして(1)を選択した訓練対象者に対して表示するメッセージとして、添付ファイルの形式の偽装に関する注意喚起のメッセージを、(2)を選択した訓練対象者に対して表示するメッセージとして、送信元アドレスの偽装に関する注意喚起のメッセージをそれぞれ含めておき、各訓練対象者により適切な教育を行うことができる。
【0088】
なお、図9に示した処理においても、図8を用いて説明した処理と同様、FQDNの生成において文字列のエンコードを省略するような構成や、端末情報の収集を省略し、FQDNに含めないような構成としてもよい。
【0089】
図10は、DNSリクエストREQを受信した際の、サイバー攻撃メール対応訓練サーバ装置1における処理の流れを示すフローチャートである。まず、ステップS51で、DNS応答手段11が、DNSリクエストREQを受信する。
【0090】
そして、DNSリクエストREQに含まれるFQDNが属するドメイン名に割り当てられたIPアドレスを、ゾーン情報記憶部14から検索する。そして、ステップS53で、ゾーン情報記憶部14から作出したIPアドレスを含むDNS回答ANSを生成し、DNSリクエストREQの送信元である訓練対象者端末装置5へと送信する。
【0091】
最後にステップS54で、DNS応答履歴情報記憶部15に、図5(c)を参照して説明したような、DNSリクエストREQの受信時刻や、問い合わせ対象のFQDNなどの情報を記録し、処理は終了する。
【0092】
なお、先に図9を用いて説明したような、訓練対象者端末装置5がDNS回答ANSの受信を待ち、それに含まれるIPアドレスを処理に利用するような構成でない場合には、ステップS53におけるDNS回答ANSの送信処理を行わず、ステップS54において単にDNSリクエストREQの受信履歴のみを記録するような構成としてもよい。
【0093】
DNS応答履歴情報記憶部15に記録されたDNS応答履歴情報は、DNS応答履歴解析手段12によって解析される。DNS応答履歴解析手段12は、DNS応答履歴情報と、訓練対象者情報記憶部の記憶する訓練対象者の情報とを参照することによって、訓練用ファイルを開封した訓練対象者の特定を行い、図5(c)を参照して説明したような、訓練対象者のIDや氏名、所属組織、訓練用ファイルの開封日時などの情報を、訓練結果情報記憶部17へと記録する。
【0094】
なお、ここでDNS応答履歴解析手段12が、訓練対象者情報記憶部16の記憶する訓練対象者の利用する訓練対象者端末装置5の端末情報と、DNS応答履歴情報記憶部15の記憶する各履歴情報に含まれる端末情報との照合を行い、訓練対象者端末装置5からのDNSリクエストREQについての履歴のみを訓練結果情報記憶部17に記録するような構成とすることが好ましい。このような構成とすれば、先に述べたようなセキュリティソフトによる開封などの不要な情報を排し、訓練結果情報を把握しやすくすることができる。
【0095】
また、訓練対象組織の利用するグローバルIPアドレスを予め把握しておき、DNS応答履歴解析手段12が、DNS応答履歴情報記憶部15の記憶する各履歴情報に含まれる送信元のIPアドレス情報の照合を行うことによって訓練対象者端末装置5からのDNSリクエストREQであるか否かを判定し、訓練結果情報記憶部17への記録を行うような構成としてもよい。
【0096】
先に述べたように、セキュリティソフトのベンダの用意するサーバへと添付ファイルが送信され、そこで開封される場合にも、それらのサーバに割り当てられたグローバルIPアドレスを予め把握しておくことにより、訓練用ファイルの開封が訓練対象者によって行われたものでないことを確認できる。
【0097】
例えば、図5(c)に示すように、「org−a.example.com」のドメイン名を含む、DNSリクエストREQが複数回あった場合を想定する。これは、「org−a」ドメインのみを見れば、全てのDNSリクエストREQが、当該ドメインが割り当てられた組織Aに属する訓練対象者による訓練用ファイルの開封によって生じたものである可能性が考えられる。しかし、問い合わせ対象のFQDNに、訓練用ファイルの開封が行われた端末装置の情報などを含めておけば、それによって、当該DNSリクエストREQが訓練対象者端末装置5から発せられたものであるか否かを、より確実に判定することができる。
【0098】
また、組織Aの利用するグローバルIPアドレスが「yyy.yyy.yyy.12」である、という情報を予め把握しておけば、送信元IPアドレスが「yyy.yyy.yyy.12」であるDNSリクエストREQ以外は、先に述べたセキュリティソフトのベンダの用意したサーバ上での開封など、訓練対象者以外による開封であることを見分けることができる。
【0099】
このように、サブドメインに含まれるDNSリクエストREQの送信元の端末情報や、DNSリクエストREQの送信元IPアドレス情報によって、訓練対象者端末装置5から発せられたDNSリクエストREQの履歴のみを訓練結果情報記憶部17に記憶することが好ましい。
【0100】
また、先に述べたように、ラベルの文字列長及び/又はFQDNの文字列長の制約のために、端末情報等を示す文字列を複数に分割し、複数のDNSリクエストREQがなされた場合には、それらに対するDNS応答履歴を結合し、1回の訓練用ファイルの開封として、訓練結果情報記憶部17に記憶する。なお、DNS応答手段11を有する複数のサーバ装置を用いる場合においては、分割された複数のDNSリクエストREQが複数のサーバ装置によって分散して受信される可能性もあるため、そのような場合においても、それぞれのサーバ装置の備えるDNS応答履歴情報記憶部15の記憶するDNS応答履歴情報から対応するDNS応答履歴情報を抽出し、結合することができるよう構成されることが好ましい。
【0101】
訓練結果情報出力手段13は、訓練結果情報記憶部17の記憶する情報の集計などを行い、表形式ファイルでの出力や、訓練結果情報を示すWebページの生成など、任意の方法によって、訓練管理者が閲覧可能な状態で、訓練結果情報の出力を行う。なお、上述したような、訓練用ファイルが訓練対象者端末装置5上で開封されたか否かの判定をDNS応答履歴解析手段12でなく訓練結果情報出力手段13によって行い、必要な情報を選別するような構成としてもよい。
【0102】
あるいは、訓練管理者が訓練結果情報記憶部17の記憶する情報を直接参照可能な構成としてもよい。このような構成とする場合には、各訓練管理者が、自身が所属、あるいは訓練を管理する訓練対象組織に属する訓練対象者に関する情報のみを参照可能な構成とすることが好ましい。このように、訓練結果情報を訓練対象組織毎に閲覧可能な構成とすることにより、複数の組織を訓練対象組織とした訓練を同時に実施する場合においても、各組織内の情報が他の組織に漏えいすることを防げる。
【0103】
また、先に図9を参照して説明したように、DNSリクエストREQに含まれるFQDNが、訓練対象者による回答情報を有する場合には、それを訓練結果情報記憶部17に共に記録し、訓練結果情報出力手段13によって集計可能に構成することが好ましい。
【0104】
以上のように、DNSリクエストREQの履歴情報を利用して訓練用ファイルの開封状況を確認可能な構成とすることにより、本実施形態に示したような、訓練対象組織内のLAN7と組織外のWAN6との間にファイアウォール8が設置されている場合にも、訓練対象者端末装置5からのDNSリクエストREQの送信さえ許可されていれば、訓練対象組織内のネットワークに関するセキュリティ設定などを変更せずとも、標的型攻撃メールの対応訓練を実施することができる。また、LAN7に図示しないプロキシサーバが設置され、訓練対象者端末装置5から外部へのHTTPやSMTPなどのプロトコルによる通信が制限されるような環境においても同様である。
【0105】
また、訓練対象者端末装置5から訓練用ファイルの開封時に送信されるDNSリクエストREQに訓練対象者端末装置5の端末情報を含めることにより、訓練対象者による訓練用ファイルの開封の有無をより正確に判定することができる。
【0106】
更に、訓練用ファイルに質問や選択肢を含むような構成とすれば、訓練対象者へのアンケートを実施することができる。
【0107】
なお、本実施形態においては、標的型攻撃メールへの対応を想定した訓練を行う例を示したが、サイバー攻撃メール対応訓練システムの利用法はこれに限るものではない。例えば、不特定多数の攻撃対象へと送信されるフィッシングメールを想定した訓練を行うのであれば、訓練用メールTMの内容や、訓練用ファイルの種別、送信元のメールアドレスの設定などをそれに適したものとすれば、同様に訓練を実施することができる。
【0108】
また、本実施形態においては、IPv4アドレスを用いたシステムを例示したが、IPv6アドレスを用いる場合においても、ゾーン情報記憶部14やDNS応答手段11等、各部をそれに対応する構成とすれば、同様の方法によって訓練を実施することができる。
【符号の説明】
【0109】
1 サイバー攻撃メール対応訓練サーバ装置
11 DNS応答手段
12 DNS応答履歴解析手段
13 訓練結果情報出力手段
14 ゾーン情報記憶部
15 DNS応答履歴情報記憶部
16 訓練対象者情報記憶部
17 訓練結果情報記憶部
2 メール送信サーバ装置
3 メール受信サーバ装置
4 訓練管理者端末装置
41 訓練用ファイル生成手段
42 訓練用メール作成手段
43 訓練用メール送信手段
5 訓練対象者端末装置
51 電子メール閲覧手段
52 添付ファイル開封手段
6 WAN
7 LAN
8 ファイアウォール
A 訓練対象組織
REQ DNSリクエスト
ANS DNS回答
RES 訓練結果情報
TM 訓練用メール
【要約】      (修正有)
【課題】通信環境に制限のある場合においても、訓練対象者による添付ファイルの開封状況を把握し、効果的な訓練を実施することができる、サイバー攻撃メール対応訓練システムを提供する。
【解決手段】サイバー攻撃メール対応訓練サーバ装置1を備え、訓練対象者へと訓練用ファイルを添付した訓練用メールを送信し、前記訓練対象者による前記訓練用ファイルの開封状況の記録を行うサイバー攻撃メール対応訓練システムである。サイバー攻撃メール対応訓練サーバ装置1を権威DNSサーバとする訓練用ドメイン名を含む訓練用ファイルを生成する、訓練用ファイル生成手段と、訓練用メールを送信する訓練用メール送信手段と、DNSリクエストREQの受信履歴情報を記録するDNS応答手段11と、履歴情報を解析し、前記訓練用ファイルの開封状況を記録するDNS応答履歴解析手段12と、を有する。
【選択図】図2
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.